Поиск 0
8 499 455-06-82
с 9:00 до 18:00 по будням
info@digitalangel.ru
Draytek

Как направить весь трафик в VPN-туннель на DrayTek Vigor3900 / 2960

Предполагая, что Vigor3900 находится в головном офисе, а Vigor2960 находится в филиале, сетевой администратор хочет создать VPN между двумя офисами и заставить Vigor2960 отправлять весь трафик в этот VPN-туннель. Приведенные ниже примеры покажут вам два способа достижения этой цели.

A. GRE over IPsec + Route Policy

Конфигурации на Vigor3900 в головном офисе

1. Добавьте новый профиль VPN: перейдите в  раздел «VPN and Remote Access >> VPN Profiles» , нажмите «  Add»  и настройте основные параметры:

  1. Установите  флажок Enable.
  2. Введите локальный IP-адрес / подсеть как 10.0.0.0/8.
  3. Введите удаленный хост как WAN IP Vigor2960.
  4. Введите удаленный IP-адрес / подсеть как IP-адрес LAN Vigor2960.
  5. Выберите  Main Mode  для IKE Phase1.
  6. Введите предварительный ключ.
  7. Выберите  ESP  для протокола безопасности.

2. Настройте параметры GRE для профиля VPN.

  1. Включите  функцию GRE .
  2. Введите локальный IP-адрес GRE (он должен быть таким же, как удаленный IP-адрес GRE на Vigor2960 в филиале)
  3. Введите удаленный IP-адрес GRE (он должен быть таким же, как локальный IP-адрес GRE на Vigor2960 в филиале)
  4. Примените настройки.

3. Создайте пул балансировки нагрузки VPN: перейдите в  раздел «VPN and Remote Access >> VPN Trunk Management >> Load Balance Pool»  , затем нажмите «  Add»,  чтобы создать новый пул .

  1. Введите имя профиля.
  2. Щелкните Add, чтобы выбрать профиль VPN, который мы только что создали, и указать Вес (здесь будет указан только профиль VPN с настройкой GRE).
  3. Применить настройки

4. Создайте правило балансировки нагрузки VPN: перейдите в  раздел «VPN and Remote Access >> VPN Trunk Management >> Load Balance Rule» , затем нажмите «  Add»,  чтобы создать новое.

  1. Введите имя профиля.
  2. Выберите  ВСЕ  для протокола.
  3. Входной IP-адрес источника
  4. Маска источника входного сигнала
  5. Введите IP-адрес назначения
  6. Маска назначения ввода
  7. Выберите пул балансировки нагрузки магистрали VPN для пула балансировки нагрузки.

Примечание . Необходимо определить, какой трафик должен проходить через туннель магистрали VPN с помощью правила балансировки нагрузки VPN. В противном случае трафик не будет проходить в туннель магистрали VPN.

Конфигурации на Vigor2960 в филиале

1. Добавьте новый профиль VPN: перейдите в  раздел « VPN and Remote Access >> VPN Profiles» , нажмите «  Add»  и настройте основные параметры:

  1. Установите  флажок Включить .
  2. Включите Auto Dial-Out и выберите Always Dial-Out.
  3. Введите локальный IP-адрес / подсеть как 192.168.1.0/ 255.255.255.0
  4. Введите IP-адрес удаленного хоста как IP-адрес WAN Vigor3900
  5. Введите удаленный IP-адрес / подсеть как 10.0.0.0/ 255.0.0.0
  6. Выберите  основной режим  для IKE Phase1
  7. Введите предварительный ключ
  8. Выберите ESP для протокола безопасности

2. Настройте параметры GRE или профиль VPN:

  1. Установите  флажок «Enable»,  чтобы включить функцию GRE.
  2. Введите локальный IP-адрес GRE (он должен быть таким же, как удаленный IP-адрес GRE на Vigor3900 в головном офисе)
  3. Введите удаленный IP-адрес GRE (он должен быть таким же, как локальный IP-адрес GRE на Vigor3900 в головном офисе)
  4. Примените настройки.

3. Создайте пул балансировки нагрузки VPN: перейдите в  раздел «VPN and Remote Access >> VPN Trunk Management >>Load Balance Pool» , затем нажмите «  Add»,  чтобы создать новый пул .

  1. Введите имя профиля.
  2. Щелкните  Add,  чтобы выбрать профиль VPN, который мы только что создали, и указать Вес (здесь будет указан только профиль VPN с настройкой GRE).
  3. Примените настройки.

4. Создайте правило балансировки нагрузки VPN: перейдите в  раздел «VPN and Remote Access >> VPN Trunk Management >> Load Balance Rule» , затем нажмите «  Добавить»,  чтобы создать новое.

  1. Введите имя профиля.
  2. Выберите All для протокола.
  3. Входной IP-адрес источника
  4. Маска источника входного сигнала
  5. Введите IP-адрес назначения
  6. Маска назначения ввода
  7. Выберите пул балансировки нагрузки магистрали VPN для пула балансировки нагрузки.

5.  После завершения настроек, описанных выше, теперь должен быть установлен VPN-туннель. Перейдите в  раздел VPN and Remote Access >> Connection Management,  чтобы проверить его статус. Кроме того, ping, чтобы подтвердить, может ли локальный компьютер получить ответ ping от удаленного компьютера.

6. Создайте правило политики, чтобы заставить весь трафик проходить через туннель магистрали VPN: перейдите в  раздел «Routing>> Policy Route»,  затем нажмите «  Add»,  чтобы добавить новое правило.

  1. Имя входного профиля
  2. Установите флажок Включить
  3. Выберите All для протокола
  4. Выберите Any в качестве типа источника.
  5. Выберите Anyв качестве типа назначения
  6. Выберите пул LB магистрали VPN для исходящего правила
  7. Выберите профиль балансировки нагрузки VPN для пула балансировки нагрузки.
  8. Выберите NAT для режима
  9. Примените настройки.

7.  Используя команду traceroute  «tracert -d»,  убедитесь, что весь трафик проходит через VPN-туннель. Из результата трассировки на приведенном ниже снимке экрана мы видим, что второй узел - это IP-адрес LAN Vigor3900, а это означает, что трафик на 8.8.8.8 отправляется через VPN-туннель.

Б. Политика NAT

Конфигурации на Vigor2960 в филиале

1. Добавьте новый профиль VPN: перейдите в  раздел «VPN and Remote Access >> VPN Profiles» , нажмите «  Add»  и настройте основные параметры:

  1. Установите флажок Включить.
  2. Включите Auto Dial-Out и выберите Always Dial-Out.
  3. Введите локальный IP-адрес / подсеть как 192.168.1.0/ 255.255.255.0
  4. Введите IP-адрес удаленного хоста как IP-адрес WAN Vigor3900
  5. Введите удаленный IP-адрес / подсеть как 10.0.0.0/ 255.0.0.0
  6. Выберите основной режим для IKE Phase1
  7. Введите предварительный ключ
  8. Выберите ESP для протокола безопасности

2. Включите «Apply NAT policy» на вкладке «Advance ».

  1. Введите сеть, чтобы преобразовать LAN 2960 в интерфейс для отправки всего трафика.
  2. Включите параметр " Set VPN as Default Gateway"

Конфигурации на Vigor3900 в головном офисе

1. Добавьте новый профиль VPN: перейдите в раздел «Remote Access >> VPN Profiles», нажмите «Add» и настройте основные параметры:

  1. Установите флажок Включить.
  2. Введите локальный IP-адрес / подсеть как 10.0.0.0/8.
  3. Введите удаленный хост как WAN IP Vigor2960.
  4. Введите удаленный IP-адрес / подсеть как переведенный сетевой IP-адрес Vigor2960.
  5. Выберите основной режим для IKE Phase1.
  6. Введите предварительный ключ.
  7. Выберите ESP для протокола безопасности.

2. Используя команду traceroute «tracert -d», убедитесь, что весь трафик проходит через VPN-туннель. Из результата трассировки на приведенном ниже снимке экрана мы видим, что второй узел - это IP-адрес LAN Vigor3900, а это означает, что трафик на 8.8.8.8 отправляется через VPN-туннель.


Поиск по каталогу
Например Termit iRZ модем Rl21 Atm21 Антенна 906 sma 47270
Поиск по базе знаний
Например ATM control iRZ collector iRZ bridge Termit Настройка ALFA
Мы используем cookie-файлы